关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【安全预警】针对VMware vSphere的勒索病毒已经出现!

发布时间:2021-03-19 17:15:13

近日,昊之云技术监测到国家信息安全漏洞共享平台(CNVD)收录了VMware vCenter Server远程代码执行高危漏洞(CVE-2021-21972)、VMware ESXi OpenSLP堆溢出高危漏洞(CVE-2021-21974)。攻击者利用上述漏洞,可在未授权的情况下远程执行代码。





漏洞情况

VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案,包括虚拟化、管理和界面层。VMware vSphere的两个核心组件是ESXi服务器和vCenter。VMware ESXi是VMware的裸机虚拟机管理程序,用以创建运行虚拟机和虚拟设备。VMware vCenter Server是管理整个VMware虚拟化基础架构的软件,用于集中管理多个ESXi主机和以及在ESXi主机上运行的虚拟机。


1. VMware vCenter Server远程代码执行漏洞(CVE-2021-21972):vCenter Server插件中存在一个远程执行代码漏洞,授权的攻击者可以通过开放 443端口的服务器向vCenter Server发送精心构造的请求,从而在服务器上写入webshell,最终造成远程任意代码执行。


2. VMware ESXi堆溢出漏洞(CVE-2021-21974):当ESXi在OpenSLP服务中处理数据包时,由于边界错误,本地网络上的远程非身份验证攻击者可以将伪造的数据包发送到427端口,触发基于堆的缓冲区溢出,并在目标系统上执行任意代码。


影响范围

1. VMware vCenter Server 远程代码执行漏洞(CVE-2021-21972):VMware:vcenter_server 7.0、6.7、6.5版本。


2. VMware ESXi 堆溢出漏洞(CVE-2021-21974)

VMware:ESXi70U1c-17325551 7.0版本,

VMware:ESXi670-202102401-SG 6.7版本,

VMware:ESXi650-202102101-SG 6.5 版本。


中毒现象

VMware vsphere集群仅有vCenter处于正常状态。

同时企业中Windows桌面PC,笔记本大量出现被加密情况。


VMware vsphere部分:

1.浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件。

VMware vm-support日志收集包中,竟然也有勒索软件生成的说明文件。

ESXl vm-support收集的日志诊断包


Windows部分:

1.Windows客户端出现出现文件被加密情况,加密程度不一,某些用户全盘加密,某些用户部分文件被加密。

2.Windows系统日志被清理,无法溯源。PS:客户端均安装有McAfee企业防病毒软件,然而并未起到防护作用。

3.使用火绒、autoruns、深信服EDR产品,暂未发现异常。

本次事件处理方式

1. 将VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。

2. 如用户有数据备份环境,部分存储于本地磁盘的VMware虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原。

3. 对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。

4. 对现有虚拟化环境进行了升级。


VMware的安全公告:

https://www.vmware.com/security/advisories/VMSA-2019-0022.html

https://www.vmware.com/security/advisories/VMSA-2020-0023.html


VMware缓解方案:

禁用ESXI SLPD服务,但是vCenter无效

https://kb.vmware.com/s/article/76372


补丁解决方案:

搜索对应版本Esxi和vCenter的补丁,进行升级。

https://my.vmware.com/grouplvmware/patch#search


Windows部分:

1. 对于Windows客户端,进行断网,并快速抢救式备份数据。

2. 开启防病毒软件的防勒索功能。


勒索病毒的反思和建议

1. 数据备份非常重要,往往是灾难发生后的唯一救命稻草。建议有多份数据备份,且存储于不同介质。

2. 存储级别的冗余也很有必要,比如存储的快照,复制,克隆等技术,这些技术在备份和还原上非常的迅速利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照,保护企业数据。

3. 关注厂商的安全公告,及时对现有环境中的软硬件环境进行升级。



/template/Home/Zkeys/PC/Static